Timeline NIS2: scadenze operative 2025–2026

Le principali date da rispettare per conformarsi alla Direttiva NIS2 e agli obblighi ACN

Introduzione

Il recepimento della Direttiva NIS2 tramite il d.lgs. 138/2024 ha introdotto un percorso di adeguamento scandito da una serie di scadenze temporali definite dalla normativa e dalle determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Questa pagina fornisce una timeline chiara e completa degli obblighi NIS2 per i soggetti essenziali e importanti, utile per pianificare le attività interne e garantire la conformità.

Timeline operativa NIS2 – Scadenze principali

Le scadenze sono suddivise in tre aree:

A) obblighi ACN tramite piattaforma
B) obblighi di sicurezza e governance previsti dalla NIS2
C) obblighi di notifica e gestione incidenti.

A) Scadenze relative alla piattaforma ACN NIS

Secondo la Determina ACN n. 333017/2025:

  1. Registrazione annuale

Periodo: 1 gennaio – 28 febbraio di ogni anno

Attività:

  • inserimento o conferma dei dati del soggetto NIS;
  • indicazione dei ruoli obbligatori.
  1. Aggiornamento annuale

Periodo: 15 aprile – 31 maggio

Attività:

  • aggiornamento delle informazioni tecniche e organizzative;
  • verifica delle informazioni relative alla governance.
  1. Aggiornamento continuo

Finestra: fino al 14 aprile, con obbligo di segnalazione entro 14 giorni da ogni variazione rilevante.

  1. Designazione del Referente CSIRT

Periodo straordinario 2025: 20 novembre – 31 dicembre 2025

Attività:

  • nomina del Referente CSIRT e degli eventuali sostituti tramite piattaforma ACN.

B) Scadenze NIS2 per obblighi di sicurezza (2025–2026)

  1. Entro gennaio 2026 – Capacità di notifica degli incidenti

I soggetti NIS devono essere in grado di effettuare preallarme, notifica e relazione finale verso il CSIRT Italia.

  1. Primo quadrimestre 2026 – Pubblicazione atti ACN sulle misure avanzate

ACN pubblicherà:

  • modello di categorizzazione del rischio;
  • obblighi strutturali a lungo termine;
  • misure tecniche avanzate.
  1. Da giugno 2026 – Avvio dell’implementazione delle misure a lungo termine

I soggetti essenziali e importanti devono:

  • avviare l’attuazione delle misure strutturali;
  • aggiornare il proprio modello di governance.
  1. Entro ottobre 2026 – Completamento delle misure minime

Completamento delle misure di base previste dagli atti ACN e consolidamento del modello di sicurezza minimo.

C) Obblighi continuativi

Oltre alle scadenze principali, la NIS2 richiede attività permanenti, tra cui:

  • monitoraggio e gestione del rischio;
  • aggiornamento periodico delle procedure;
  • formazione continua;
  • revisione dei meccanismi di risposta agli incidenti;
  • supervisione degli Organi Direttivi;
  • tracciabilità delle attività di sicurezza.

 

Timeline sintetica

2025

  • gennaio–febbraio: registrazione ACN
  • aprile–maggio: aggiornamento annuale ACN
  • fino al 14 aprile: aggiornamento continuo
  • 20 novembre – 31 dicembre: designazione Referente CSIRT

2026

  • gennaio: capacità di notifica incidenti
  • marzo–aprile: atti ACN su misure avanzate
  • giugno: inizio implementazione misure lunghe
  • ottobre: completamento misure minime

Come prepararsi alle scadenze NIS2

Per rispettare la timeline è necessario pianificare:

  • analisi del perimetro NIS2;
  • definizione dei ruoli obbligatori;
  • predisposizione delle procedure di gestione incidenti;
  • adeguamento delle misure minime;
  • formazione degli Organi Direttivi e del personale;
  • predisposizione dei flussi sulla piattaforma ACN.

Supporto iSimply per la gestione della timeline

iSimply offre:

  • monitoraggio delle scadenze;
  • supporto operativo sulla piattaforma ACN;
  • consulenza per misure minime e avanzate;
  • assistenza nella gestione degli incidenti;
  • formazione specifica per le figure coinvolte.

 

Vuoi pianificare correttamente il percorso di adeguamento NIS2 della tua organizzazione?

Richiedi un supporto operativo

info@isimply.it

Tel 0125 1899500